I provvedimenti in commento (Tribunale Roma, ordinanza 09.02.2007 e ordinanza 19.08.2006) suscitano notevoli perplessità e meriterebbero attenta trattazione in relazione ad almeno due profili: l’assenza di corretta valutazione delle problematiche legate alla normativa a tutela dei dati personali e la criticabile applicazione ed interpretazione delle norme contenute nel capo III della L.633/1941 (L.d.A.) come modificate dal D.L.vo 16 marzo 2006, n. 140 in attuazione della direttiva 2004/48/CE (la c.d. direttiva enforcement1 ).

Questa nota vuole tentare di dare un contributo in relazione al primo profilo: il D.L.vo 196/2003.

Premessa.

Per comprender appieno la vicenda è necessaria una breve premessa che consenta di collocare in fatto la portata delle ordinanze citate.

In questi giorni circa 4000 cittadini italiani si sono visti recapitare una raccomandata, inviata da uno studio legale di Bolzano il quale, in nome e per conto di una piccola casa discografica tedesca, la Peppermint Jam Records GMbH, chiede la cancellazione di file musicali di artisti di cui la casa detiene i diritti di sfruttamento del diritto d’autore e che sarebbero stati messi a disposizione di altri utenti di internet attraverso programmi di file sharing, nonché il versamento, a titolo “parziale risarcimento per danni, spese legali e spese tecniche sostenute per l’individuazione”, della somma forfetaria di euro 330,00.

Dalla lettura della missiva si evince come la Peppermint abbia dato incarico ad una società svizzera, la Logistep AG[1], affinché con un apposito software (definito antipirateria) raccogliesse e registrasse alcuni dati relativi ad utenti connessi in rete, rei, a loro dire, di effettuare attività di condivisione in reti P2P di opere tutelate in violazione del diritto di cui all’art. 16 L.d.A. (in particolare, risulta che siano stati trattati, quanto meno, data e ora di connessione dell’utente alla rete, suo indirizzo IP e nome del file condiviso).

Con tali dati a disposizione la Peppermint ha successivamente presentato avanti il Tribunale di Roma due distinti ricorsi ex art.156 bis, L.633/41 - il primo accolto tout court, il secondo in sede di reclamo – ottenendo con le ordinanze in comento l’ordine nei confronti degli ISP di esibire i dati anagrafici degli utenti “schedati” dalla Logistep AG.

L’analisi delle ordinanze del Tribunale di Roma: male captum, bene retentum

Al di là delle poco condivisibili argomentazioni giuridiche esposte dal Tribunale sull’applicazione dell’art.156 bis, L.633/41[2], ciò che lascia perplessi e stupiti è l’assoluta carenza di valutazione circa possibili violazioni delle disposizioni legislative a tutela dei dati personali.

L’ordinanza collegiale del 9 febbraio 2007 non si pone neppure il problema della liceità del trattamento dei dati personali raccolti e registrati dalla Logistep AG e dalla Peppermint utilizzati per sostenere la fondatezza del proprio ricorso[3].

L’ordinanza del 19 agosto 2006, invece, liquida la questione affermando che: “Il modo in cui i suddetti dati sono stati recuperati dalla società incaricata dalla Peppermint appare dunque affidabile, accettabile e soprattutto lecito, posto che colui il quale utilizza un programma di file sharing manifesta, per ciò solo, la volontà di accettare che il proprio indirizzo IP sia conoscibile da tutti gli altri utenti che utilizzano il medesimo programma”.

Che ne è dell’art.23, 1° co, D. L.vo 196/03, il quale prescrive che il consenso al trattamento di dati personali da parte di privati è ammesso solo con il consenso espresso dell’interessato?

Che ne è dell’interpretazione autentica, rigorosa e sino ad oggi mai scalfita, del Garante per la protezione dei dati personali, secondo cui non esime della richiesta di consenso, preventivo ed espresso, la circostanza che i dati personali siano considerati pubblici in quanto di fatto conoscibili da chiunque atteso che la pubblicità che scrimina il trattamento (senza consenso) ex art.24, 1° co., lett.c), D. L.vo 196/03, deve intendersi tassativamente subordinata ad una disciplina legislativa e/o regolamentare che ne consenta la conoscibilità indifferenziata da parte del pubblico e non anche quella che deriva da una conoscibilità diffusa per mere circostanze di fatto[4]?

Ma le questioni sul tappeto paiono esser più complesse.

Il meccanismo di funzionamento del software antipirateria utilizzato dalla Logistep AG pare un sintesi il seguente: il software si inserisce nella rete e registra gli indirizzi IP degli utenti connessi ad un programma di file sharing (quali utenti? Tutti? Solo quelli che condividono file musicali degli artisti prodotti dalla Peppermint? Solo quelli che condividono o anche quelli che scaricano?), registrandone i relativi dati (indirizzo IP, data e ora della connessione, file condiviso) su di un’apposita banca dati, a sua volta gestita da un altro software.

Può ritenersi lecito tale trattamento di dati?

La risposta è negativa.

Due questioni preliminari

Esaminiamo preliminarmente due questioni propedeutiche:

1. l’applicabilità della legge italiana sulla privacy;

1.2.la possibilità di considerare un indirizzo IP come dato personale.

1. Considerato che la Logistep AG ha sede legale a Steinhausen in Svizzera, si pone in prima battuta la questione dell’applicabilità della legge italiana in materia di tutela dei dati personali.

A tal proposito, il disposto dell’art.5, D. L.vo 196/03 è peraltro esaustivo e dirimente: il codice privacy disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato in un luogo comunque soggetto alla sovranità dello Stato.

La fattispecie in esame rientra dunque pienamente sotto la giurisdizione italiana in quanto, sebbene verosimilmente detenuti all’estero (affermazione, peraltro, allo stato tutta da confermare), i dati personali sono stati indiscutibilmente raccolti[5] dalla Logistep AG, per conto della Peppermint (titolare del trattamento?) in Italia. E’ infatti indiscutibile che le informazioni assunte a mezzo del software antipirateria (indirizzo IP dell’utente, data e ora della connessione e nome del file condiviso) non possono che essere state estrapolate direttamente dai PC connessi in rete ma materialmente situati in Italia (in particolare punto di rete e cartella condivisa).

In ogni caso, il secondo comma del citato articolo 5 stabilisce che il codice si applica anche qualora il trattamento sia effettuato da un soggetto stabilito nel territorio di un Paese non appartenente all’Unione europea (nel caso di specie, la Svizzera) che impiega però strumenti situati nel territorio italiano anche diversi da quelli elettronici: orbene, dopo esser stati raccolti e registrati dalla Logistep AG, i dati personali sono stati comunicati allo studio legale di Bolzano il quale li ha dapprima prodotti in giudizio avanti il Tribunale di Roma e poi, a seguito di un’operazione di data matching, utilizzati per inviare le lettere di cui sopra: è pertanto evidente ed innegabile che vi sia stata una fase di trattamento con strumenti situati in Italia.

2. Fornire la prova che l’indirizzo IP sia un dato personale potrebbe sembrare tautologico, visto che se non si trattasse di un’informazione relativa ad una persona identificabile[6] la Peppermint non sarebbe riuscita a diffidare ben 3.636 utenti italiani, tuttavia vista la delicatezza della vicenda non è superfluo ricordare che già nel parere n.2 del 30 maggio 2002 il Gruppo per la tutela dei dati personali (Articolo 29) affermava: “Il Gruppo mette in evidenza che gli indirizzi IP attribuiti agli utenti Internet costituiscono dati personali e sono tutelati dalle direttiva 95/46/CEE e 97/66/CEE”[7].

L'art.23 e l'art.122 del D. L.vo 196/03

Premesso che nel caso di specie trova applicazione la legge italiana in materia di tutela dei dati personali e che gli indirizzi IP sono dati personali, pare pacifico che il trattamento effettuato dalla Peppermint, mediante l’attività svolta da Logistep AG, sia assolutamente illecito.

I dati possono essere trattati solo con il consenso espresso dell'interessato e previa informativa -art.23, D.Lvo 196/03 (sanzionato penalmente dall’art.167) - ma soprattutto, ai sensi dell’art.122, D. L.vo 196/03, è vietato espressamente l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente stesso.

Sebbene il disposto dell’art.122 non sia sanzionato penalmente (sic!), va detto che ai sensi dell’art.11, 2° co., del medesimo codice i dati personali trattati in violazione della disciplina in materia di trattamento dei dati personali non possono essere utilizzati.

Ed il danno anche non patrimoniale che ne deriva è risarcibile ai sensi dell’art.15, D. L.vo 196/03.

Se così è (e non si vede come così non possa essere), viene da chiedersi come possa essere accaduto che una società tedesca, sfruttando l’attività illecita posta in essere da una società stabilita in Svizzera (Paese extra UE), abbia potuto tranquillamente raccogliere, registrare, organizzare, conservare, consultare, comunicare, elaborare, estrarre, raffrontare e utilizzare dati personali relativi a cittadini italiani, il tutto con il placet della magistratura italiana!

Magistratura che, come già detto, non si è minimamente (pre)occupata della liceità del trattamento dei dati effettuato a monte del ricorso ex art.156 bis, L.633/41 e ciò nonostante detto trattamento costituisse il presupposto della fondatezza della richiesta di ostensione avanzata nei confronti degli ISP.

I diritti connessi al Diritto d'Autore ed il diritto alla tutela dei dati personali: quale deve prevalere?

Quel che più stupisce è il fatto che dell’illiceità di tale trattamento non si sia (pre)occupata neppure l’Autorità garante per la protezione dei dati personali a cui, in entrambi i procedimenti, è stato notificato il ricorso della Peppermint ai sensi dell’art.152, D. L.vo 196/03, senza che però si sia premurata di costituirsi in giudizio o presentare memorie.

Solo in data 18.05.2007 (meglio tardi che mai!) un comunicato stampa rende noto che il Garante ha deciso di costituirsi in giudizio presso il Tribunale di Roma nelle cause intentate dalla Peppermint nei confronti di gestori telefonici allo scopo di identificare alcune migliaia di utenti. L'Autorità Garante ha inoltre deciso di richiedere a diverse società interessate e a gestori telefonici tutti gli elementi utili per una piena valutazione del caso[8].

La domanda fondamentale diviene allora la seguente: la tutela dei diritti connessi al Diritto d’Autore di una casa discografica su di una canzone (la maggior parte dei cittadini colpiti è rea di aver condiviso un solo brano musicale in formato mp3!), prevale, nel giudizio di bilanciamento, sul diritto alla tutela dei dati personali del singolo utente[9]?

Ovvero è legittimo violare norme a tutela del diritto alla riservatezza per tutelare il diritto connesso al Diritto d'Auore?

Il Diritto d’Autore, nelle sue diverse componenti, e nella sua complessa titolarità, non è un diritto assoluto, ma il frutto della mediazione tra il diritto alla libera circolazione delle idee e della cultura e la giusta remunerazione della creazione dell’ingegno.

Basti pensare che nella Dichiarazione Universale dei Diritti dell’Uomo all’art. 27 si legge:

1. Ogni individuo ha diritto di prendere parte liberamente alla vita culturale della comunità, di godere delle arti e di partecipare al progresso scientifico ed ai suoi benefici.

2. Ogni individuo ha diritto alla protezione degli interessi morali e materiali derivanti da ogni produzione scientifica, letteraria e artistica di cui egli sia autore.

Crediamo che la formulazione e l’ordine gerarchico dei principi espressi non sia casuale.

Per contro, il diritto alla riservatezza è un diritto primario costituzionalmente garantito tanto che con una recente sentenza[10] la Corte Costituzionale ha dichiarato inammissibili e non fondate alcune questioni di legittimità costituzionale sull’art.132, D. L.vo 196/03, nella parte in cui pone modalità e limiti all’acquisizione di tabulati telefonici nel corso di indagini di polizia giudiziaria, affermando che tale norma esprime scelte di politica criminale e di ragionevole bilanciamento fra diritto individuale alla riservatezza e interesse collettivo alla repressione dei reati.

Se il diritto alla riservatezza non può essere compresso, limitato e/o derogato neppure a favore delle indagini giudiziarie svolte sotto il controllo della magistratura, come può essere del tutto eliso da un soggetto privato, con indagini private al fine di a far valere un presunto ( e dubbio!) diritto patrimoniale?

La raccolta, la registrazione e la comunicazione (per di più in paesi esteri) da parte delle due società coinvolte ci paiono dunque oggettivamente illecite e le ordinanze nulla tolgono a tale illiceità.

Come detto, come tali trattamenti siano stati effettuati senza il consenso (e l’informativa) degli interessati e con modalità illecite per la legge italiana.

L'esercizio di un diritto come scriminante all'obbligo del consenso: il trattamento da parte dello studio legale della Peppermint.

Il trattamento senza consenso da parte dello studio legale della casa discografica potrebbe, invece, apparir legittimo ai sensi dell’art. 24, 1° co., lett.f), D. L.vo 196/03 in quanto finalizzato a far valere o difendere un diritto in sede giudiziaria.

Ma chi sono gli autori della violazione? Contro chi agisce in sede giudiziaria la Peppermint utilizzando (il-legittimamente(?)) quei dati? Non contro gli autori ma contro soggetto terzo (ISP) al fine di trovarli. E per trovarli, con l’avvallo del Tribunale (sic!), si fa consegnare dati personali di cittadini che, in quanto intestatari delle linee telefoniche cui corrispondono gli indirizzi IP dell’account, potrebbero essere, ma non certamente sono, autori della violazione.

I dati forniti dai provider costituiscono al più ulteriore indizio per individuare, nella casa o nell’ufficio presso cui arriva la linea, il malandrino che condivideva la musica.

Ma ancora non esiste legalmente una “controparte” nei confronti della quale agire giudizialmente nonostante l’imprudente iniziativa stragiudiziale in corso.

E’ pacifico, crediamo, che l’intestatario della linea telefonica cui corrisponde l’indirizzo IP “recuperato” (come scrive il Tribunale di Roma, sic!) non possa esser considerato sic et simpliciter l’autore della violazione.

Quale istituto giuridico potrebbe mai suffragare siffatta impostazione?

O si sostiene la sussistenza di una fantasiosa ipotesi di responsabilità oggettiva oppure il dato non consente alcuna legittima azione giudiziaria nei confronti del titolare.

Non si dimentichi che l’ipotetica azione civile della Peppermint sarebbe intentata per responsabilità extracontrattuale e dunque una responsabilità imputata per il sol fatto di esser l’intestatario rischierebbe di tradursi in responsabilità per fatto altrui.

Da queste considerazioni discendono forti dubbi circa la sussistenza, nel caso, della scriminante al consenso di cui all’art. 24, 1° co, lett.f), D. L.vo 196/03 nel trattamento effettuato dallo studio legale nell’interesse della Peppermint.

Ad oggi, non c’è sede giudiziaria ove sia stato fatto valere qual si voglia diritto soggettivo.

Il ricorso ex art. 156 bis L.d.A. non è strumento deputato alla ricerca dell’autore della violazione, come erroneamente interpretato dal Tribunale di Roma nelle ordinanze in commento, ma è volto, crediamo, ad agevolare l’individuazione delle prove nell’ambito di un’azione inibitoria (art. 156 L.d.A.) per violazioni, temute o in atto, nei confronti dei responsabili.

In difetto, si autorizzerebbe chiunque a trattare qualsivoglia dato, di un’intera comunità, città o nazione, sol perché all’esito del trattamento, forse, potrebbe esser individuato un soggetto contro cui intendo far valere un diritto in un possibile giudizio.

Sarebbe come consentire ed avallare l'intercettazione (illecita) di tutte le telefonate di una data comunità poiché, siccome qualcuno parla male di me e mi diffama in quell'ambito, individuerò le conversazioni lesive ed agirò in giudizio, prima contro il gestore della rete telefonica per sapere chi è l'intestatario della linea, poi contro costui per difendere la mia reputazione ed il mio buon nome, indipendentemente dal fatto che a proferir le male parole diffamanti sia l'ospite di casa, la moglie pettegola o il ribelle figliolo quindicenne!

L'albero avvelenato dà frutti velenosi

Concludendo, riteniamo che nel caso di specie l’orribile principio del male captum, bene retentum, che Cordero paragonava all’albero dai frutti velenosi, non possa, né debba trovar cittadinanza, almeno in Europa. Quanto alla Svizzera ... vedano loro.

Il Diritto d’Autore è uno dei più nobili diritti, poiché fondato sul titolo della creazione.

I diritti ad esso connessi di sfruttamento economico dei produttori, ci sia consentito, un poco meno nobili sono.

Entrambi debbono però flettere, senza resistenza, davanti al diritto costituzionalmente garantito alla protezione dei dati personali.

Gli strumenti e le modalità di tutela dei diritti previsti dalla L.d.A. dopo l’attuazione della direttiva 2004/48/CE sono già oggetto di aspra critica per l’intollerabile compressione del diritto costituzionalmente garantito all’accesso ed alla fruizione della cultura e delle idee da parte di tutti. E ciò non a beneficio degli autori ma di imprese commerciali che con la creazione e l’ingegno hanno poco a che fare.

Se tali strumenti si utilizzano non nei confronti dei responsabili per far cessare efficacemente violazioni dei diritti, ma per conferire a privati la facoltà di violare la riservatezza dei cittadini per scoprire con schedature di massa chi forse, anni fa ha commesso una risibile violazione, bhè, allora, come Alberto Sordi, ne “Il Marchese del Grillo” di Monicelli, facciamo suonare le campane[11].

(Altalex, 24 maggio 2007. Nota degli Avv.ti Carlo Blengino e Monica Alessia Senor)